Das Sicherheitsunternehmen Lacework stie\u00df im Web auf \u00fcber 22.000 Managementoberfl\u00e4chen zum Verwalten von Containern, die vorrangig zu Kubernetes geh\u00f6ren. Einige davon waren v\u00f6llig ungesch\u00fctzt im Netz!<\/p>\n
Eine komfortable Verwaltung ist wichtig, wenn man viele Container betreibt. Nicht umsonst erfreut sich Kubernetes gro\u00dfer Beliebtheit. Mit Docker Swarm oder Swarmpit gibt es zweifelsfrei auch weitere Verwaltungswerkzeuge. Oftmals bringen Plattformen dieser Art eine Web-Oberfl\u00e4che mit, die mittels Public Cloud \u00fcber \u00f6ffentliche IP-Adressen zu erreichen sind. Jedoch hat das Sicherheitsunternehmen Lacework, welches auf die Amazon Web Services spezialisiert ist, nun knappe 23.000 dieser Managementoberfl\u00e4chen \u00f6ffentlich zug\u00e4nglich aufgesp\u00fcrt.<\/p>\n
In dem verlinkten PDF ist von 22.700 Managementoberfl\u00e4chen die Rede, an anderer Stelle<\/a> von rund 21.200. Das Team ging vermutlich systematisch bei der Suche nach Hosts und Zertifikaten vor, verwendete neben internen Werkzeugen auch Tools wie \u201eSSL-Data-Mining\u201c, Shodan oder simples Webcrawling.<\/p>\n Wenngleich die Mehrheit aller Zug\u00e4nge mithilfe von Login-Daten gesch\u00fctzt war, standen doch 305 der aufgesp\u00fcrten Cluster offen \u2013 sie waren also entweder nicht durch ein Passwort gesch\u00fctzt oder aber sie befanden sich gerade im Setup-Prozess. Das h\u00e4tte Unbefugten die M\u00f6glichkeit eines kompletten Zugriffs auf die Containerverwaltung spendiert. Via API und UI w\u00e4re auch eine Remote Code Execution denkbar. Bei der Suche tauchten 38 Server f\u00fcr Containerumgebungen des Health-Check-Dienstes Healthz auf; der Zugriff darauf war ohne Zugangsdaten m\u00f6glich.<\/p>\n Lacework bietet noch einige Statistiken: 95 % der aufgesp\u00fcrten Management-Oberfl\u00e4chen sind bei Amazons Web Services (AWS) gehostet. Googles Cloud-Angebot sowie OVH folgen anschlie\u00dfend. Knappe 80 % der Oberfl\u00e4chen geh\u00f6ren wohl zu Kubernetes, auf zusammen etwa 20 % kommen Swarmpit und Docker Swarm mit Portainer. Weitere Oberfl\u00e4chen waren von Swagger API, Red Hats Openshift und Mesos Marathon erreichbar. Mehr als die H\u00e4lfte (55 %) der offenen UIs sind in den USA gehostet, es folgen Irland, Australien, Deutschland, Singapur sowie Gro\u00dfbritannien.<\/p>\n Es sind nicht ausschlie\u00dflich die ungesch\u00fctzten UIs, die problematisch sind. Lacework schreibt in seiner Mitteilung, dass die Angriffsfl\u00e4che auch bei mit Zugangsdaten gesch\u00fctzten Management-UIs ebenfalls hoch sei. Man k\u00f6nne Sicherheitsl\u00fccken ausnutzen, auf Zertifikate zugreifen oder Dictionary- sowie Brute-Force-Angriffe starten. Das ist auch der Grund, aus dem der Kubernetes-Initiator Google f\u00fcr seine Cloud empfiehlt, das Kubernetes-UI<\/a> zu deaktivieren.<\/p>\n Lacework gibt in seinen Dokumenten Tipps f\u00fcr einen sicheren Umgang mit Containerverwaltungen. Empfehlenswert seien eine Multi-Faktor-Authentifizierung, aber auch das Regulieren des Zugangs von UI- und API-Ports. Ein Bastion Host<\/a> helfe genauso wie sichere Verschl\u00fcsselung via TLS und valide Zertifikate.<\/p>\nLacework warnt: Andere Angriffe auf gesch\u00fctzte Management-UIs<\/h3>\n